- About Trend Micro
- プレスリリース
- アンダーグラウンドマーケットの最新調査報告書を公開
アンダーグラウンドマーケットの最新調査報告書を公開
~企業ネットワークへのアクセス権を販売する「Access-as-a-Service」が多様化~
2020年7月14日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、非合法に取得したと思われる情報や攻撃ツールを売買するアンダーグラウンドマーケットに関する調査結果を本日から順次公開します。本調査は、2015年~2019年のアンダーグラウンドマーケットで売買される情報や攻撃ツールの変化に着目しています。詳細は「トレンドマイクロ セキュリティブログ(連載「アンダーグラウンドマーケット最新事情2020」全3回予定)」をご覧ください。調査の概要は以下の通りです。
1. 企業ネットワークへのアクセス権を販売する「Access-as-a-Service」が多様化
アンダーグラウンドマーケットでは、企業内ネットワークへのアクセス権が販売されており、こうしたサービスを「Access-as-a-Service(以下、AaaS)」と呼びます。従来は、コンピュータを遠隔操作するためのRDP(Remote Desktop Protocol)のアクセス権の販売が中心でした。2019年の調査では、RDPに加えて、企業ネットワークへ侵入済みのRAT(Remote Access Tool:遠隔操作ツール)やクラウドストレージへのアクセス権、経営層レベルの認証情報など様々な形態のアクセス権が販売されていることが分かりました。
インターネット側からリアルタイムでの画面操作を伴うRDPと比較して、企業ネットワーク内に入り込んだRATの場合、被害者側の画面上では気づきかれにくい特徴があります。またRATは、通信元や通信内容を監視して、攻撃かどうかを判断する必要があるため、サイバー攻撃者にとっては標的企業に気づかれにくい手法と言えます。また、経営層レベルの認証情報を悪用することは、標的の企業に対して影響度の高い攻撃を実現できてしまうことを意味します。
例えば、米国の保険会社へのアクセス権は1,999米ドル(約21万円)※1、欧州のソフトウェア会社へのアクセス権は2,999米ドル(約32万円)※1で販売されています。「Fortune 500」にランクインしている企業のアクセス権は10,000米ドル(約107万円)※1で販売されている事例も確認しており、侵入することで価値が高いと判断される企業へのアクセス権は高値で売買される傾向があります。
企業側の対策としては、RDPなどの通信を行うポートの開放有無やログイン情報の管理、RATの通信を確認した際には、そのアクセス元が適切かなどを確認することが必要です。また、不信な通信が確認された際には、情報窃取やランサムウェア攻撃などの二次攻撃の兆候がないかを確認することも重要です。
●画面1:英国企業へのネットワークアクセス権の販売例
2.有権者情報の販売により、標的にあわせたフェイクニュースの懸念
今回の調査では、社会情勢に影響を与える世論の操作を目的としたサイバープロパガンダ(宣伝工作)の一種である「フェイクニュース」の動向についても調査を行いました。SNSを使った世論操作に悪用可能な偽のコメント作成や「いいね」の請負サービス(Instagramの1,000件のいいねが、3米ドル~など)が、前回調査から引き続き低価格で販売されています。
今回の調査では、新たに米国やトルコ、フィリピンなど一部の国・地域の有権者情報が販売されていることを確認しました。あるアンダーグラウンドマーケットでは、氏名、住所、生年月日、メールアドレスなどを含んだ米国の各州の有権者情報が9.99米ドル(約1,100円)※1で販売されていました。政治的な世論操作を試みるサイバー攻撃者が、こうした情報を悪用し、より標的にあわせたフェイクニュースを流すことが懸念されます。
フェイクニュースは、引用元が明言されていない、同じ文面で複数のSNS投稿がされているなどの特徴があります。インターネット利用者がフェイクニュースへの対策を行うには、1つの情報源ではなく複数の信頼のある情報源を参照する、いいねや動画の再生回数はその内容の人気度を測るものであっても、内容の信頼性を裏付けるものではないことを理解しておくことも重要です。
●画面2:米国の有権者情報の販売例(ミズーリ州の有権者情報410万件の販売を謳う販売者)
3.MaaS(Malware as a Service)は、低価格化によりサイバー攻撃の参入障壁が低下
サイバー攻撃に使用可能なツール/サービスを販売するMaaS(Malware as a Service)は従来から存在します。直近では、ランサムウェアやRATなどの攻撃ツールの販売、IoT向けボットネットのレンタルやDDoS攻撃代行サービスなど、多岐にわたる商品が取り扱われています。
PC向けのボットネットのレンタルは、2015年の調査で平均200米ドル(約2万1,000円)※1だったものが、50米ドル/1日(約5,400円/1日)と低下し、RATの月額利用料金は5米ドル~25米ドル(約540円~2,700円)、ボット型IoTマルウェア「Mirai」のボットネットは、10米ドル(約1,100円)※1と数年前と比較してサイバー犯罪への参入障壁がより低くなってしまっていると言えます。一方、ランサムウェア(900米ドル/年など)やATMマルウェア(2,000米ドル)、Android向けのボットネット(1,500米ドル)など直接的に金銭を窃取するツールや、より多くのユーザが利用するスマホに対する攻撃を行うことが出来るボットネットは高値で取引される傾向にあります。
このほか、AI(artificial intelligence:人工知能)や人物画像の合成技術であるディープフェイク(Deep Fake)など、新たな技術の悪用もアンダーグラウンドマーケットで模索されています。現段階では、「高度なAIエンジン搭載」を謳うギャンブル用ボットプログラムの提供や認証技術の1つ「CAPTCHA(キャプチャ)」を突破できるプログラムが販売されているほか、ディープフェイクを使ったポルノ動画・画像の作成サービスの提供が行われています。アンダーグラウンドマーケットではこれらの技術の悪用の可能性について盛んに議論されており、今後様々なサイバー犯罪への悪用が懸念されます。今後数年間で、これまで考えられなかったサイバー犯罪が編み出されてしまう懸念もあり、セキュリティ対策を考慮する上では最新のサイバー攻撃の動向を踏まえて常に対策を検討し続けることが重要です。
※1 2020年6月時点の換算レート(1米ドル=107円)で計算。